Заново появляющийся вирус doc001

[rashid]

Здравствуйте после перезагрузки касперский все сново и сново находит вирус doc001.exe, причем все время в одних и тех же местах. Лог CollectionLog-2018.04.16-11.37 прикрепил

Изменено 16 апреля, 2018 пользователем rashid

[regist]

Порядок оформления запроса о помощи
 

[rashid]

CollectionLog-2018.04.16-11.37.zip

[regist]

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 

 

причем все время в одних и тех же местах.

в каких именно? Случайно не в сетевых папках?

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

У вас видно и остатки от Avast и от Kaspersky Internet Security 15.0.0.

Советую

1) Деинсталировать текущую KIS 17-ю версию, либо вообще касперского для серверов.

2) Зачистить остатки антивирусов https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

3) Поставить Kaspersky Internet Security 18. А судя по тому что у вас там сеть со своим сервером, толучше специальную версию для серверов

[rashid]

нет не в сетевых он создает новые папки администратор, 1 и admin:

C:\Documents and Settings\администратор\Start Menu\Programs\Startup\

C:\Documents and Settings\1\Start Menu\Programs\Startup\

C:\Documents and Settings\Admin\Start Menu\Programs\Startup\

C:\администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

c:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

 

AutoLogger\CheckBrowsersLNK  Отчёт о работе в прицепе

 

 

ClearLNK-2018.04.16_13.42.26.log

[regist]

Лог MBAM жду.

[rashid]

лог высылаю

111.txt

[regist]

Удалите в MBAM всё кроме

Процесс: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5970], [133383],1.0.4750
Модуль: 1
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5970], [133383],1.0.4750
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [5970], [133383],1.0.4750

Понаблюдайте за проблемой. Обновления безопасности для XP все установлены?

[rashid]

ночью в 2.13 касперский опять 2 файла DOC001.exe в карантин отправил, хотя сетку на ночь отключал.

нашел похожую тему https://forum.kasperskyclub.ru/index.php?showtopic=55958

[regist]

 

 

хотя сетку на ночь отключал.

Что под этим подразумевается? Что выдернули сетевой провод и был отключен как и от локальной сети так и от интернета?

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[rashid]

был отключен как и от локальной сети так и от интернета, сейчас пока активности на этом компе нет, посмотрим завтра....

в 15.45 опять появилось, плюс добавились к тем что я выше прислал еще папки 

 

c:\KADRY4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\doc001.exe

c:\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\doc001.exe

C:\Documents and Settings\KADRY4\Start Menu\Programs\Startup\doc001.exe

C:\Documents and Settings\administrator\Start Menu\Programs\Startup\doc001.exe

вовремя создания папок с вирней появилась подозрительная скрытая папка с ини файлом

c:\Documents and Settings\Экономист\Recent\Desktop.ini

внутри

[.ShellClassInfo]

InfoTip=@Shell32.dll,-12692

IconFile=%SystemRoot%\system32\SHELL32.dll

IconIndex=-21

LocalizedResourceName=@shell32.dll,-12691

KADRY4_2018-04-17_14-48-20.7z

[regist]

1) @rashid, у вас установлен Kaspersky Internet Security 15. Он уже устарел, ставьте актуальную версию KIS 18 и проверяйте проблему на ней. Тем более вы её уже скачали

C:\DOCUMENTS AND SETTINGS\ЭКОНОМИСТ\МОИ ДОКУМЕНТЫ\DOWNLOADS\KIS18.0.0.405ABCDEFGRU_13931.EXE

2) Остатки Аваста до сих пор видно

 

 

Зачистить остатки антивирусов https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

3)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.11 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASOUTEXT.DLL
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWSMA.DLL
   delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSOSYNC.EXE
   delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\WINWORD.EXE
   delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
   delref {8DD448E6-C188-4AED-AF92-44956194EB1F}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {2E38825B-8815-42CF-9126-C58BC28D4591}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
   delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F}\[CLSID]
   delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
   delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
   delref {093F479D-712E-46CD-9E06-62E734A05F68}\[CLSID]
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
   

 

4) Проверьте снова проблему, уже со свежей версией антивируса.

[rashid]

KIS 18 не устанавливается, пишет возможно ваш комп заражен, скрипт выполнил

[regist]

 

 

пишет возможно ваш комп заражен

а скриншот или точное описание ошибки можно?

[rashid]

лог 

kl-setup-2018-04-18-14-50-04_KIS.18.0.0.405.log